Prezentare generală a CVE-2023-21716-Microsoft Word RTF Font Table Heap Corruption
Microsoft a emis recent un aviz de securitate care descrie CVE-2023-21716, o vulnerabilitate critică de tip RCE (Remote Code Execution) care afectează mai multe versiuni ale aplicațiilor Office, SharePoint și 365.
Această vulnerabilitate este declanșată de o vulnerabilitate de corupție a heap-ului în parserul Rich Text Format (RTF) al Microsoft Word atunci când procesează un tabel de fonturi (fonttbl) care conține un număr excesiv de fonturi (f###). Aceasta poate fi exploatată de un atacator prin trimiterea unui e-mail malițios sau prin încărcarea unui fișier care conține o sarcină utilă RTF și prin atragerea utilizatorului pentru a deschide fișierul.
Atunci când victima deschide fișierul malițios, atacatorul obține acces pentru a executa cod arbitrar în cadrul aplicației utilizate pentru a deschide fișierul. Chiar și panoul de previzualizare poate fi folosit pentru a lansa un atac. Ca urmare, acest lucru ar putea duce la instalarea de programe malware, la furtul de date sensibile sau la alte activități rău intenționate.
Vulnerabilitatea a primit un scor CVSS de 9.8 (Critical) datorită posibilității ridicate de exploatare și interacțiunii minime necesare din partea victimei.
Am scanat un fișier RFT conținând cod malițios utilizând OPSWAT MetaDefenderși am observat că numai 3 din 21 de motoare antimalware au detectat amenințarea. Prin urmare, o organizație care se bazează pe metode de detectare bazate pe semnături ar putea deveni potențial vulnerabilă la atacuri.
Soluțiile de rezolvare a vulnerabilităților afectează productivitatea
Microsoft a publicat patch-uri în actualizarea Patch Tuesday din 14 februarie 2023. Aceștia recomandă actualizarea produselor afectate.
Pentru utilizatorii care nu pot aplica remedierea, Microsoft sugerează mai multe soluții pentru a reduce riscul ca utilizatorii să deschidă fișiere RTF din surse necunoscute sau de neîncredere. Cu toate acestea, soluțiile de rezolvare nu sunt nici ușor de implementat și nici eficiente în menținerea activităților comerciale obișnuite.
- Microsoft sugerează citirea e-mailurilor în format text simplu, care este puțin probabil să fie adoptat din cauza lipsei textului bogat și a conținutului media. Deși această soluție poate elimina amenințarea, ea nu acceptă afișarea imaginilor, animațiilor, a textului bold sau italic, a fonturilor colorate sau a altor formate de text. Acest lucru duce la o pierdere substanțială a informațiilor cruciale din e-mail.
- O altă soluție este activarea politicii Microsoft Office File Block, care restricționează aplicațiile Office de la deschiderea fișierelor RTF care au origini necunoscute sau de neîncredere. Pentru a pune în aplicare această metodă, este necesară modificarea Registrului Windows. Cu toate acestea, este necesară prudență, deoarece utilizarea necorespunzătoare a editorului de registru poate cauza probleme semnificative care pot necesita reinstalarea sistemului de operare. În plus, dacă nu a fost desemnat un "director scutit", există posibilitatea ca utilizatorii să nu poată deschide niciun document RTF.
Rămâneți în siguranță fără soluții complicate sau sacrificarea capacității de utilizare
În loc să vă ocupați de soluții complicate sau să sacrificați utilitatea fișierelor, Deep CDR (Content Disarm and Reconstruction)) oferă un remediu.
Deep CDR protejează împotriva amenințărilor avansate și de tip zero-day. Identifică și elimină conținutul malițios din fișierele primite, cum ar fi atașamentele de e-mail sau încărcările de fișiere, oferind în același timp fișiere sigure, utilizabile.
Prin eliminarea tuturor obiectelor încorporate în fișierele RTF și reconstruirea fișierelor din componente sigure verificate, Deep CDR se asigură că fișierele sunt igienizate și sigure pentru acces, lipsite de orice amenințări potențiale.
Deep CDR implică următoarele etape:
Tehnologia CDR este foarte eficientă în ceea ce privește protecția împotriva amenințărilor necunoscute și sofisticate, deoarece nu se bazează pe detectarea și blocarea unor semnături malware specifice.
Deep CDR permite administratorilor să configureze procesul de igienizare a fișierelor RFT. Pentru a se asigura că fișierele de ieșire sunt lipsite de vulnerabilități, toate fișierele RTF sunt supuse unei analize pentru a determina numărul de fonturi din tabelele lor de fonturi. Dacă numărul depășește o limită preconfigurată, tabelele de fonturi sunt eliminate din fișiere.
În mod implicit, tabelele de fonturi cu mai mult de 4096 de fonturi, un plafon standard, sunt eliminate. Cu toate acestea, această configurație poate fi personalizată pentru a permite luarea de decizii în cunoștință de cauză și pentru a se alinia la cazul dvs. specific de utilizare.
Deep CDR oferă vizualizări detaliate, enumerând obiectele salubrizate și acțiunile întreprinse, permițându-vă să faceți alegeri în cunoștință de cauză pentru a defini configurații care să corespundă cazului dumneavoastră de utilizare. Mai jos este rezultatul fișierului RTF malițios după ce a fost curățat de Deep CDR. Fontul încorporat a fost eliminat, ceea ce a eliminat vectorul de atac. Ca urmare, utilizatorii pot deschide fișierul fără să se îngrijoreze că ar putea fi compromiși.
Putem observa că fontul încorporat anormal a fost eliminat prin deschiderea atât a fișierului RTF original malițios, cât și a versiunii igienizate.
Descoperiți cea mai bună soluție de securitate pentru a preveni malware-ul de tip zero-day și malware-ul evaziv avansat, aflând mai multe despre Deep CDR și Multiscanning, sau consultând un expert tehnic OPSWAT .
